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PHDE02018S 
• ZUSAMMENFASSUNG 
. Sicheiiheitssystem fiir Gerate eines dr^tlose^ 

^ Die Erfinduug besdeht sich auf ein Sioherheitssystem fax draMose Netzweike mit 
einer etstea IragbaxeE Einheit (1) mit einem Speicher (3) zipr Speich^ung eines 
5 weltweit eindeudgen Schlfisseldatensatzes (4)^ die zur Kur^^eckeninfonnatioiis- 
Obertragimg des ScMii^seldatezisatzes (4) vorgesehen ist. la wenigstens einem 
drahtlosen Q&m (2) des Netzwerks ist eine Empfangseiiiheit <7) vorgesehen, die einen 
Emp^Dger (9) zum Bmp&ng des ScbliOsseldatensaizes (4) imd eine Auswerte- 
komponente (1 1) des Oerates zur Sp^cherung, Verarbeitung und/oder Wdterleitung 

10 des Schlfisseldatensatsiies (4) oder eines Teils des Schlfisseldatensataes in eine zweite 
Komponente aufVveisL Duich den jSchltisseldatensatz erlangen die Qer&te des drahtlosen 
Netzwezks einen gemeindamen g^eimen Sdiltlssel» mit Hilfe dessen die Ver- und 
BntsdbliQsselung der tibertragenen Nutzdaien und/oder die Authentifizierung 
votgenommenwlrd. v ' 

15 • ' - - ' ' 



Fig. 1. 



20 
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SichCTheitssystem fOr Geiate eines di^tlosea Netewer^ 

Die vorUegende Erflndung bezieht sioh aUgemein auf ein Sichetiieitssystemfto 
, drahtlose Netzwerke. 

Der EinsBtz von diahtloser Konwuoikation zurUnterstOfeung mobiler GerSte (wie 
Schnurlostelefbne) oder als Ersatz fiir diahtgebiwdene Losungen zwisohen stationarea 
Qeraten(z;B. PC t«dTdefQnansomussdose)istschonlteWeweit verbis 




10 




Far 2MlcQriftige digitale Hansqetzwerke bedeotet das. dass sie typisch^eise nicM nur 
am mehtetm draiigebundenen Gertteo, sondem auch aus mehieren drahtlosen Qemten 
bestehen. Bei derRealisiermigdigitaler draMoserNeftswerke, in$besondere Hausnete- 
werke, wenJenFunkteclnjologien v4e.B'luetooli^pTC^ 

Standard fQr „ Wireless Local Area Network" verwendet Drahtlose Kommunikatioa 
15 kaibaachm>erInfi!atotO&DA)crfoIgen^ ■ .. 

Desgleichcn werden auch andere der Infennatiori od^ Unterhaltung der Nutzer 
dienande Netze zokOnftig mt^ anderem auch drafatlos koirinMinizierende QerSto^t- 
hatosn- Insbesondere seien hiMsogenannte Ad-hoo-Netzwerke genannt. bei denea es 
20 sichumtempoiareingeridrteteNetzwetlcemitimAngemeinM 
Besitzer hmdelt. Ein Beispiel solcher Ad-hoc-Netzvv^ 

wird z. B. die MnsilcstOcke aaf aeinem initgebrachten MP3-Spieler flber die Stereo- 
anlage des Hotelzimmers wiedergebaaifvollen. Bin weiteres Beispiel sind aUe Arten von 
■ ■I^fi^»l»idenensiohMfflisca»ennutdrahtIoskoniraunizi^^ 
25 Austausch von Paten oder Medieainhalten CBilder. Fihne. Mmilc) z iL^mm^ fi^^^ 

Bei Verwendung von Funktechnologien kSnnen GerSte wie zS. ein MP3.-Speichefw 
Gerat TOd eine HiFi-Anlage drahtlos ttber Funkwellen als Datenleitung mitdii^der 
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Icomnxumdepen. Prinzipien g^bt es dabei zwei BetriebsartexL Batweder kommiudzieren 
die. Gerate dlrekt von Qerat zu GerSt (als Peer-to-Peer-Netzwerk) Oder iSbet dnen . 
zeatrakaZugangspvxikt (Ac<ies3 Pointy 

. 5 Je nacb Standard haben die Funktechnologien Reichweiten von mehreren 10 Metem in 
Gebauden (IEEE802,1 1 bis zu 30m) und mehreren 100 Metem im Freien QEEB802.il 
bis zu 300m). Funkwellen dtuchdringeu auch die Wande eiher Wohnung odex eines. 
Haiises. Im Abdeckung$bereich eines Funknetzes, also innerhalb der Reichweite kCnnen 
die iibertragenen Informationen prinzipiell von jedem Empfinger, der mit einer ent- • 
ID sprechenden Funlcscbniltstelle ausgenistet ist. emp&ngen werden. 

Damns ergibt sich die Notwendigkeit, drabtlose Netzwer^ 

unbeabsiohtigtes Abhdren der ttbertragenen Infoimationen, sowie gegen nnbefugten Zu- 
gang zum Netzwerk und damit dessen Ressourcen besonders zu schtltzen. 

15 . ■ - 

Methoden zur ZugangskontroUe und zum Schutz der ubertrag^en Informationen sind 
in den Funkgtandards enthalten (z.B. bei rEEE802.1 1 in IEEE802,i 1, Wireless LAN 
Medium Access Control (MAC) and Physical Layer (PHY) specifications. Standards 
IEEE", New Yoric, AuguS: 1999, Kapitel 8). AUgemein in Punknelzen als auch speziell 

20 im IEEBS02. 1 1 Standard berubt jede Form der D'aGex>sicherheit letztlich ouf geheimen. 
Verschlllsselungscodes (SchlOssebi) oder Kennworten^ die nw den befiigten 
Konmnmikationspartnem bdcannt sind. 

< * ■ • • 

ZugangskontroUe bedeuiet, zwisch^ befiigten und unbefugten Gex3ten unterscbdden 

25 zu konnen, diL ein Zugang gewShrendes Gex^ (z.B. ein Access Point, oder ein GeiSt' 
eines Helm- oder Ad-hoc-NetzwerkS| das eine KommunikationisaQforderung eibSlt) 
kann anhand von'fibeimitCelten Informationen entsdieiden, ob ein Zugang fordemdes 
Gei^befugt ist. Bei einecnlS^diumvde Funic, das leicht abgehdrt werd|en kann, ist 
dabei die iein&che tibettragung von Zugangscodes oder die Verwendung von 

30 Identifikatoren (die vom Zugang gewMhrezu}en GerSt mit einer Uste von Identifikatoien 
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befUj^ Gecg£6 vergUdien werdea kaim) unzum 

Mithfitea dieser Obertiagung unberechdgt an die iiotwendigeo Zugangsinfoimationen 
gdaogen kaim. 

5 Das in Zusammenhasg mit IEEB802. 1 1 vervrendete sqgenannte MA.C-Addie$s- 

Filtering stdlt in seiner einfechen Ponn Iceinen sicheteQ Schutz dar. Bei dieser Methode 
speichfirt der Access Point die Liste der MAC (Media Access C<wiirol)-Adreskeii der 
zum Zugrifif auf das Netzwerk beft^^en Qcrate. Versucht ein unbefugtes Getat auf das 
Netzwerk zuzugreifen, wild es aufgrtmd der dem Access Point imhftkfiiintftn MAC- 
10 Adresse zurtUskgewiesen, Neben der iSr Hausnetzwerke InakzeptableaBemitaer- 
unfiMwndUchkeit der notwendigen Waitimg eii^ 

Methode vof allem den Nafchteil, dass es mflglich ist MAC-Adressoi vorzutaosdien. 
Somit nittss es damn iinbeftetea Benutzer nur gelmgen, k anntni's "hffftigten" 
MAC-AdtBsse S5U erhalten, was wiedenutt beim Belauscheo des FtmkvQikefars einfech 
13 mCgJich ist. Desbalb \yird ZugangskontroUe mit eioer Airthsndfizlerung gekoppeH; die 
auf einem gdieimcn SchlOssa Oder Keamwort benjht. 

Im IEEE802.1 1 Standard ist die "Shaied-Key-Autheirtifiziening" definiert, bd der sich 
ein befugtes Garat duioh die Kenntnis eines gdieiinen Scihltissels anszeichnpt. Die 
20 Awtlientifisaenmg wird dann wie folgt vorgenommen: Um die Befiignis festzusteljen, 
• sehdet das Zugang gewShrende Gerat einen Zufallswert (Challenge), dea das Zugang 

fordemde Gerat mit dem geheimen Schlilssel versoWQsssIt md zmliclcsfendet Dad^^ 
kann das Zugang gewahrende Gerat die Kenntnis des Schltlssels und damit die Zu- 
gangsbewchligung veiifizieren (diese Methode wild in seiner aJlgoneinen Form auch 
25 "Ch£illenge-Response-Methode"genannt). 

Bei der Verschltlsselung werden die ilbertragenen toformationen vobi sendenden Gerat 
verscihlQaselt und vom empfangencjen Gerat entschliisselt, so dass die Daten fiSr einen ' 
unbefUgt oder imbeabsichtigt MithQrenden wertlos sind, Der ffiBE802. 1 1 Standard • 
30 venveadet dazu die Verschlfisselungsmethode Wired Equivalent Privacy (WEP). Dabei 
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. wild ein aUen GerSten des Netewerks bekannter, aber sonst geheimer SchlQssel (40 Bit 
odec 1 04 Bit WBP-Schlttssel) vemendet, der als Parameter in den Im IEEE802. 11 
Standard festgelegten Verschlttsselungsalgorithmus zwr Verschlflsselung der za flber- 
tcaganden Daten ei0geht. ■ 

• 5 

£n Falle von WEP wird derselbe Schliissel auch zur Audientifizaenjng verwendet 
Nebea "syttuiietrischen" Verschltlsselungsverfehren (mit einem "shaied key") gibt es 
auch die sogenannten pubUo/private key^Veifehren, bei denen jecles Gerat einea 
: aUgemembekaimtenScMQsseI(pubIiokey)zumVerscmfisseInbereits^^^ 
XO dazugeteJrigea,nurdiesem Gerat befcaimtengeheimejaSciUlissel(^ 

dear das EntsdilOasehi der mit dem public Issy verschlosselten Informationen emiSglioht. 
Daduich ist AbhOraicheriieit ohne einen im Voraus bekannten gemeinsamen geiheimen 
Schliissel mOglich. Bei Anwendung dieser Art voa Verfahren ist es jedooh einem 
beKeWgen Oer» iriogUoh, imt» NHt2amg des aUgemeia bekamite^ 
15 mumkaHan zu einem Qcrfit (z.B. einem Zugang gewahrenden Gerst) awfeanehmen. 
Deshalb ist auch hier eine Airthentifi^ienmg zut ZugangslcontioUe notwendig, die 
iviederom aof einem geheimen Sohltlssel bemht. der im Vomns den gnmrnimtVati^Tig- 
' partnembekanatseiamuss, . ; 

.20 ZurErhShungderDatendeherhdtkOimenNetzvwkgermel^chani 

barung van tcmporaien SohlQssehi beinhalteh, also Sphltissela, die nur eine festgelegte 
Zeitspanne lang 2air Vereohiesselung vqrwendet werdai, so dass nicht immer derselbe 
gebeinw Sdilossel vBTweadet v(drd. Def A»stam<d^ 
etfotdert aber eine abhessichere Obe^ 

25 goheimen Sohltlssel benOtigti der im Voraus den Kommumkationspartnem bekannt sein 

musa, WesentHch fljr die Erfindimg ist, dass auch die Datensicharheit durch Ver- 
scWOsselungauf ehian (ersten) gehdmen ScMlIssel beruht. 
Kommunikationspartn^ bel»mit sein muss. 

3d . 
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Um ein Sicherheitssystem Sir drahtlose Netzwerke zu schaffen, ist (fcshalb ein Konfi- 
. ' gurationsschritt notwendig, der alien relevanten Geraten einen geheimen Schliissel (ftir 
Authentifizienmg und/odejr Versohlttsselung) zur Verfilgung stellt. 

5 Dabei ist eijie Besonderheit drahtloser Netzwerke, dass dieser SchlQssel nicht als 

"Klartext** (unverscbliisselt) ttber die drahtlose KommunikationsscQitiittstelle dbartragen 
werd^ sojlte^ da sonst ein unbefcgtes Gerat durch mithoren unberechtigt an den 
Schlifesel gelangen kaiin. Zwar kaim* durch Kodierverfehren, wie Diffie-Hellman, die 
abh5rsichere Vereinbarung eices gemeinsamen geheimen SchlOssels zrwischen zwd 
10 Kommimilcationspartiaera tlb'er eine Funksohnittstelle eneicht werden. Um jedoch zu 
verhindem, dass ein mibefugt^ Gem. die ScMtisselvereinbarung mit einem (Zugang 
gewafarendeu) GerSt de^ Netzweikes initiier^ mt^ auch dieses Ver&hren mit einer 
Amhratifisierung der Koinmunikationspartn^ gekoppelt sein» was wiederum einm 
(listen) geheimen ScMQssel erfordert, der im Voraus den Kommunikationspartnem 
15 bekanntseinmuss. ' ► 

Bei Schnurlostelefon^ nach DECT-Standard isf ein eister ScblOssel bot^its ab W^k in 
den Ger&ten (Basisstation tmd HOrer)^ gespeidhert. Zur Anzneldung eines neuen HSrers 
an der Basisstatibn muss der ScbltJssel (PIN-NuxxunerX in d^ Basisstation ge- 
20 speichert ist^ vom denutzer am neuen WStec eingegeben werden. Da der Benotzer deh 
Schlussel dazu kennen muss, ist dieser z,B. auf Aufklebem an der Basisstatibn 
verfugbar. 

• IEEE 802.1 1 basierte Finnen- oder Campus-Netzwerke mit einer dedizierten lofia- 
25 [ struktur werden im allgemeinen von spezieU amgebildeten Systemadministratoren 
. koniiguriert. Diese benutzen im allgemeinen System-Management-Rechnera die draht- 
gebundene Verbindimgen zu jedem Access Point besitzen, Ober diese drahtgebundenen 
(xmd damit quasi abhOrsicheren) Verbindungen werden die geheinien Schliissel. (z.B. 
WEF-Schlassel) zu den Access Points tlbertragen, Die Schltisseleingabe aii den 
.30 Klienten (z.B; drahtlose L^tops) erfolgt von Hand. 
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Die DurohflUmmg eines Konfigurationsschrittes zm Itistallation eines ersten geheimen 
Schlttssels wird zwar vorausgesetzt (und dle notwendigea IConfigurationsschritte sind 
in Software-Schrdttstellen definiert), aber die Realisierung ist tiicht festgdegt Der 
IEEE802.1 1 Standard beixihaltet dazu in Kapitel 8.1 .2 folgendes Statement:"Tlie 
5 required secret shared Icey is presumed to have been delivered to participating STAs 
(stations) via^a secure channel that is independent of IEEE 802.1 1. Th© shared key is 
contained in a write . only MIB (>flanagement Infoimation Base) attribute via the MAC 
management path," , 

10 Der Exfindung liegt die Aufgabe zugrunde, eine benutzer&eimdUche Installation eines 
geheimen Schlfissels in den Geraten eines drahtloaen Netewerks zu realisieien. 

Die Apfgabe wird gelost.durch ein Sicherheitssystem iiir drahtlose Netzwerke 
ausgestattet mit 

15 - , einer ersten tragbaren Ebhesit mit einem Speioher 2ur jSpeicharung eines weltweit 
, . I eindeutigen SchltlsseldatensatzeS;, die zur Kii^sstreckeninfoimationaflibertra des 
SchlQsseldateasatzes votgesehen ist, urid . 
- mindesteixsi eSner Empifengseiiihcit in wenigstens einem diahtloseax Ger^ des Netz- 
weiks, die einen Emp:&iger zum Emp&ng des Schlttsseldatensatzes und eine 
20 Amw^rtekomponente dtes Gerates zur Speicherung/ Ver^^ 

Weiterleitung des Schltisseldatensatzes oder eines TeUs des SchlOsseldatensatzes in 
eine zweite Kompon^te awfweisL 

Jedes drahtlose Oerat des Netzrwerks hat sowohl ehie Funkschnittstelle zunx Obertragen 
25 von Nut2Xiaten als auch eine' Empfangseinheit zum Bmpfang eines Schlfisseldatezisatzes 
von em^ ersten tragbaren Bmheit Zur Sicherimg des drabtlosen Nutzdateaverkehrs 
2:wischen den Ooraten wird in jedes Gerat abh6rsiohet ein Schllisseldatensatz einge- 
geben, durch den diese Ger^ einen gemeinsamen geheimen SchlOssel eriangen, mit 
Hilfe dessen die Vei^ und Entschliisselung der tlbertragencai Nutzdateri imd/oder die 
30 Authentifizierung vorgenommen wird. 
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Dec Schliisseldatensatz; ist im Speicher der tragbaren Einlieit gespeichert, die uber einen 
Sender Oder einen Sender mit Detektoreinheit zur KirrzstreckenUbertragung verftlgt. 
Damit wird der SchlUsseldatensatz abhSrsicher in jedes drahtlose Gerat des Netzwerkes 
eingegeben. Zur AtislCsung eiuer Schlxisseldatensat^abertragung kaim eine Taste an der 
5 Einheit dienen. Abhfingig von dem verwendeten Verfehren zur Kurzstrecskeninfor- 
mationstibertragung kann die AuslOsung einer Scblti33eldatensatzilbertragung aber auch 
dadurch ezfolgen, dass die Binheit in unmittelbare NSbe der Empfang$einheit gebmdit 
vfiid und die Detdctoreislaeit die Schlfisseldatensatzabertiagung auslSst 

10 Der Schlusseldatensatz edthalt als wesenUichen (und mOglich^rweise einsigen) Be- 
standl&il einen geheimen ScUflsseicode CSchltissel")* Zum Empfang des Schlttesel- 
datensatzes veifitgt jedes diahdose Oerat des Netzwerkes fiber eine Bmpfangseinheit 
bestehend aus einem Emp&iger und einer Auswertekomponente, die nach Erhalt des 
Schlflsseldatensatzes den SdhlOssel extrahiert nnd diesen fiber eli^a inteme Sfi i?^ ttgte"'=? 

15 an die fOr die Ver^ und Bntschlflsselung der NutzdatenzostSndige zweite Kompcmente 
(Z.B. die ftir die Steuerung der Punkschnittetelle zustgndige Treibersoftwaie) weiter- 
lehet. . 

Bin dwell die tragbare Einheit verwendetes Verfahren 2ur Kurzstreckeninfotmationa- 
20 Q];»ertEagung Icann auf modnUerten magnetischen-, elektromagnetischjSn Felde^i^ soivie 
Infiarot-^ Oder sichtbaiem Licht, Ultra- od€f Infrasdhiall Oder beliebig^ andetecu in ihter 
Rtich^ite kontxoUierbaren Obertragung^tecbnolbgien basieren* Die t}bertrag;unjg des 
Schlfisseldatensatzes kann auch durch ein meludimensionales Muster auf der Ob&rr 
fiache des Send^s realisiert werden^ welches von der Bmp&ngseinliieit ansgelesen wird. 
23 Wesentlich iilr die Brfindung ist, dass eine Tecbnologie mit sehr kuizer Reichxveite 
(vi^enige Zentimeter) oder kurziar Reichwelte nnd starker lokaler Begrenzung (2.B. 
Infrarot) benxitzt wird, so dass die Eingabe der Schlusseldatensatz aus einer sehr kxttzen 
* Distanz stattfindet und auf keinea Fall die WSnde eines Raumes durchdnng^ kann. 

30 
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Ein besonderer VorteUdieser Losung besteht darin. dass Unbeftigten dcr Empfeng des 
• Sohittsseldatensatzes nioht maglich ist Die Obertragung des Schlusseldatensatees kann 
duroh einen Tastaidiuck an der tragbaren Einheit ausgelSst werden oder - z.B. bd • 
Verweadung von HocbJfrequenz-TransponderteclmoIogie (IcoiJtaktioser RF-tag 
Technologie) - auch dadurch, dass die tragbaxe Einheit in umnittelbarer NSbe der 
Empfangseinheit piatziert wird., Sornit ist das Eingeben des SchlQsseldatensatzes in ein 
Gerat far einen Benutzer duich Annfihem der tragbaren Einheit an das GerSt (oder 
Richfen der Einheit auf das GeirSt) und eventueUeg Betatigen einer Taste an der Einheit 
besonders einfeoh und unkomplizaert. Der Benutzer benotigt auch keine Kenntnls qber 
den Lihalt des Sohliisseldatensatzes bzw. den geheimen Schlussel. Ein Fachmaim flir die 
Hngabe ond die Administraticm des Scbiasseldatensatzes ist nicbt notwendig. Die. 
Benutzwfieundlichkeit ist ein weiterer besonderer Vorteil dieser L6sung. 



Drahtloae Netzvrarke, insbesondere Haugnetzwerke, sollten Zugriff nicht nur fBr 
standige Beautzer des Hausnetzwerks (z.B. Eigentomer) bieten, sondem aiich einen 
bes<du:ankten Zugriffflttr temporare Benutzer wie zJB. GSste omSglichen. 



20 



Eiae voirt^afte Weiterbilduag der Erfindung besteht tm einer als SchlOsselgenerator 
bezeicdihetea Komponente, die zur Eiaeugung zaisStzUcshar SchlOsseldatensStzo dient. 
Der Schllteselgenerator ist eine zosStzUche Konqjonenle der »sten tragbaren Einheit 
Oder in emer sweiten separaten tragbaren Einheit realisiert 




25. 



30 



Ein voni Scihltlsselgenetator eraeugter SchltJsseldatensate; sog. Gast-StsWiSsseWafensatz, 
1st so au^baut, .dass er immer (z.B. dwch spezielle Bits im SchlOsseldatensatz) von 
einfitti im Speicher der Einheit gespeicherten (Heim-)SchlllsseIdatensat2 unteischieden 
waden kann. Ebensb. ist bei einer Eing^be eines ScUtlsseldatensatzes iminer Mar. ob 
ein Heim-Schltlsseldalensalz oder ein Gast-SchlOsseldatensatz eingcgeben wird, Dazu 
hat die ttagbare Einheit mit Speicher und SchlOsselgenerator mindestens zwei Tasten • 
(eine, urn die Obertragung des Henn-Schltisseldatensatzes aus dam Speicher auszulOsen 
imd eine, uni die Obertragung eines Gast^Schltisseldatensatzes anszMiasen). Ist dex 
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ScMiisselgenerator m einer separaten zweiten Binlieit realisiert, so 1st diese eindeudg 
(z.B. durch Farbe, Aufechrift etc.) von der Eiidieit mit dem Heim-Schlusseldatensatz 
unterscheidbar. 

5 Bin Gast-Schliisseldatensatz wird benutzl, um Gastea Zugriff auf Ressourcen des 
Netzwerks zu gewSliren. Dazu wird an alien betreffeaden (das heil3t fUr die Nut2:ung in 
Yerbindung mit den Geraten des Gastes freigegebenen) Geraten des Haugnctzwerlcs und 
den Geraten des Gastes (die nicht zum Hauisnetzwerk geh5ren) ein Qast-SohlOssel- 
'. datensatz eingegeben, mit Hilfe desseh die Derate des Gastes (z.B. Laptop) mit den 
10 betcefiRanden Gei^tm des Hausnetzwerlcs kommunizieren kfinnen. In einer altemativen 
Auspragung wird der OastscblOsseldatensatz dem Netzwerk einmal bekanntgegeben . 
(z-B. dutch Eingeben in eioes der zum Netzwerk gehqrigen GerSte) mxd braucht daim 
b^i Bedarf nur noch in die QerSte des Gastes eingegeben zu werden; damit sind dq ?? T^ 
alle Gerate des Netzwerks fur die Bemitzung mit den GerSten des Gastes fieigegeben. 
I>ie Steuenmg, auf weldie Daten imijechalb der fieigegebenen OerSte der Ga^t Zygrifif 
haibea soil, muss an anderet SteUe ^rfolgen. 

Um dem Beiu4tz<^ die KpntrdUe fiber die Dauer des gewShrten Gast-Zug^gs zum 
Hausnetz zu ermdgliehen, wiid automatisch mch einer festgelegten Zeitspanne oder 
dutch Betmtsrier-Ihtacaktion der Gast-Scfalilsseldat^atz in den G^£[ten des Haus- 
netzwecks gelesdit Bine Benutzer«]^tera]ktion zur LOschung eines Gast-jSc^ 
datensatzes kami z,B. die nochmalige Eingabe des aktudlen Heim-SchlQssel*^ 
datensatzes, ein spezieller Tastendnick an den betto£fenen Hausnetz-GerSl:^ od^ an 
einem der betroffenen Hiausnetz-QeraCe.und nacbfolgende automatische Infonnation 
aller anderen betroiSenen Hausnetz-Gerate durch dieses QerSt sein. 

Um eine unbeAigte Benutzung elnes Gast-Scbitlsseldatensatzes durch einen fi^iheren 
Oast zu verhindem, ex^ugt der jSchlOsselgenerator nach einer festgelegten Z^tq>anne 
(z.B. 60 Minuten) nach der letzten Oast-Schlfisseldatensatzlibertragung automatisch 
einen neu<m Oa^t-Schitlsseldatensatz naich dem Zu&llspiinzip, Dadurcbi erhSIt ein neu^ 
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Gast einen anderen Gast-Schlilsseldatensatz als der vorherige, wodwch dchergestellt 
ist^dassdervorherigeOastdieAnwesenheitdesneueaGastesoic^^ * 
Zugang 2Mm Hausnetz ausnuteen kann. 

• 5 Ad-hoc-Netzwerke stellen eiiifi weitere AusprSgung drahtloser Nefcswerke dar, in denen 
temporar eine Anzahl von GerStea 2m Kommunikation in einem gemeinsamen Nete- 
. werk fieigegeben werden sollen. In ahnlicher Weise wie beim Gastzugriff auf Hausnetz- 
werlce, bei dem mittels eines Gast-SchlOsseldateusatzes einzelne Gast-Gerate flir den 
Zugriff auf das Hausnetzwerk freigegeben werdeiivSollen beim Ad-hoc-Netzwerk 

1 0 Gerate. andeier B^sitzer mit znindestens einem Gerat des Benutzers koromunizieren 
kOirnen. Dazu gibt der Benutzer einen SoMiQsseldatensatz, hier Ad-hoc-Schliissel- 
datensatz genamrt, in all© QerSte des Ad-hoc-Netzwerks (seine eigenen und die der 
anderen Benutzer) ein. Der Ad-hoc-SchlttsseldatOTsatz kann in einer AusprSgimg eln 
Gast-ScMtteseMatensatz sein, er katin aber auch als Ad-hoc-Schlflsseldatensatz 

15 eindeutlggekennzeichnetsein, 

Es ist bevor;St^ dajss die Sdiltisseldatensm2© aus Bitfolgen bestehen, wobei jede 
Biffolg^ in elnem votdefinierten Foimat (zB. als 102i-Bit Sequenz) tibert3agen wird. . 
Die gesamte Bitfolge cder ein Teil davon wird von der Empfangseinheit als Schltlssel 

20 weitergeldtet Falls, die Bitfolge neben dem Schliissel zusatzUohe Bits beinbaltet, so ist 
genau festgelegli welcher Teil der Bitfolge als Schltlssel verwendet wird (z.B. die 128 
low-order Bits) und welche Bits der Bitfolge welche awsatjzjichen Informationen 
beiiOialten. Weitereldfonnationenkdx^^ . 
Art dies SchlGsseldatensatees (JJeim-. Gast- od^^ 

25 ftber die Lange imd Anmhl dev Schliisseloodes enthalteo, falls mehrere Schlflsselcodes 
gleiichzeitig ttbertragen werden. Im Falle dass die Empfengseinheit fftr weitere An- 
wenduRgen gentatax .wird, kennzeichnen die zusatziichen Bits web die Verwendimg der 
Bitfolge als Schliiss6ldataRsatz« • 

30 • . 
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Damitin zwei benachbarten Hausnetzwericen nldbt der gleiche (Heini-)SchlflsseI. 
verwendet wird, soUte dieser global eindeutig sein. IHes Ijann eireicht wextien zB. ' 
. ^ indem verschiedene Einheitea-Hersteller unterschiedUch$ Wertebereiche von ScshlOssel- 
codes hemtz,ea und imiCThalb dieser Bereiohe so weit wie m6gKoh in keineo awei 
5 Einbeitea den gleichea Scbltisseldatensatz speidiem. 

Ein nach dem IEEE802. 1 1 Standard arbeitendes Netzwerk ist ein weit verbreitetss 
. Beispiel fur drabtlose Hausnetzwerke. In einem IEEE802.1 1 Netzwerk Icann der 2n 
flbertragene Schlosseldatensatz einen oder mehwre Wired Equivalent Privacy (WEP) - 
10 Schlfissel enthalten. *- 

Die Ein^e des a-ieim-)Schlasseldatensatzes kann auch in Schritten zur Konflguration 
. dea Netzweiks staftfinden, so dass zu Beginn der Konflguration die Eingabe/ Installa- 
tion des Sohlflsaeldateqsatzes yerlangt wird. Padwwh ist wahiend des gesamten Konfi- 
15 gurationsiAozesses eine ataiOisi(di6re Kommunikation der Gerate untereinander, sowie 
edne ZugangskontroUe (befUgt sind alle GerSte, die tlber den Schlflsseldatensatz 
verfugen) gewahrleistet Dies ist in^bescoideie vorteilhaft bei der Anwendung 
oitomatisierter Konfiguiationsverfehren, d 

(basierend a«f Mechanismen wie z.B. IPv6 AutOrKonfiguiationTjnd Univeisal Plug and 
20 Pl^CUPnP)). 

IiieinerbevoizugtenAqjsfiammgsfonnistdietragbateEin^ 
sines GerStes des Hausnetzw^lcs integriert. 

25 Die arfindang betriffi agch eine tragbaie Einheit zur Installation feinftg gBin>rfT^^fmftn 

Sohlllssels in wBDlgsteiw einem QerSt eiaes draMosen NetzweikBs 

zur Speicherung eines wehweit eindatitigen SchlOaseldatensataes, die zur KuEzstrectoen- 

infonnaUonsObertragung des Schliisseldatcnsatzes vorgesehen ist. 

» * 

30 



m 29.07.02 16.08 FAXG3 Nn 556420 von NVS:FAXG3.10.01 01/0241 70401 70 (Seite 15 von 28) 





PHDE020188 

12- 



Weiterhin betriffi die Erfindung ein elelctxisches Gerat mit einer Empfangseinheit, die 
einen BmpfSngei- 2xmi Empfang eines Schllisseldatensatzes vmd eine Auswerte- 
komponente des Gergtes zur Speicherung, Weiterleitimg und/oder Verarbeitung das 
ScMiisseldatensatzes odet eines Teils des Schlusseldatensatzes in eine zweite 
. 5 Kompouflaate aufweist, 

Ansfuhrungsbeispiele der Erfiiidung werden nachstehend anhand der Abbildung Fig. 1 
nSher GciMMtexL Es zeigen: 

10 Pig, 1 eine schematisehe Darstellung zweier Binhexten und eines Gerates, 
Fig. 2 Bloclcschalfbild einer EinbeitalsSendeeinheitbeiV 

Hochfrequenz-Transpondextechnologiej 
Fig. 3 Blockscbaltfaild einer Einheit als Emp&bgs- und Sendeeiiiheit bei Verwendimg 
vonHochfiequenz-Transpondertec&nologie>und . 
IS ' Fig. 4 Blbdcsohaltbild ein^ Einheit als eine Gdsteeinheit bd Verwendung von 
Hoclxfrequenst-Tianspondertechnologie 

• * / 

Anhand Fig. 1 wd die Installation eines elelctrisehen O^^tes in ein Hausnetzwerk, das 

aus ]|iier nicht darge^llten, dxahHosen und drahtgebundenen Geraten besteht, be- 

2b schrieben^ Dargestellt sind eine eiste. tragbare Einheit I , eine Oasteeinheit 1 3 und ein 

Personal-Computer (PC) 2 alj5 ein im H^usnetewerk neues Gerat Die drahtlosen Oerste 

des Hausnetzwerks besitzen alle entspreohende, am Beispiel dea PCs 2 bescshriebene 

Komponenten S bis 12. . ' 

25 Die ©Este Einhe it 1 besteht aus einem Speicher 3 zqr Speicheaimg eines Schlflssel-. 
datensatzes 4, einer ersten Taste 5 als eine Einheit 2w Ausldsung einer SdUQsse^ 
tftertragung imd einem ersten Sender 6, der ab eine diafatlo^e Schnittstelle zum 
Aussenden des Schlusseldatensatzes 4 dient Die Einheit 1 zeidinet sioh durch ihre. 
kuize Reichweite von maximal etwa 50 cxxt aus. 

30 
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Die Gfisteeioheit 13 beinhaltet eine als SchlOsselgenerator 14 be^eiohnete Komponente 
zur Erzeugmig von SchlOsseldatensatz^ z.B. nach dem Zufidlsprinzip, eine zweite 
Taste 15 eineii 2welten Senjder 16, Die G^einheit.13 enndgUcht Oasten znit 
eigenen GeiSten (die nicht zum Hausnetzwerk gehSren) einen ggf. nur beschrSnlden 
ZugtifT auf die OerSte und Anwendungen des Hausxietzwerks. Deshalb wird eiA durch 
den Schltisselgenerator 14 er2seugter Sdbl&seldateixsatz als Oast-Sohltisseldatensaiz 17 
bczeidmet. » 





Der PC 2 ein mit dner naoh.dem IEERSQ2, 1 1-Standard arbeitenden Fuakschnittstelle 
10 12 ausgestattetes GerSt, dessen Funkschnittstelle 12 dutch eine als TVeibersoftware 10 
bezdchnete Komponente kontroUieit vmd und zur t]fbertcagung von Nutzdaten (Musilc, 
Vldeo^ allgemeine Daten, aber auch Steuerda^) dient. Die Treiborsoftwaie 10 kann 
fiber *atandardisi^1» SoihvaresduuttstelleQ (APIs) von ^eren Sofiwarekdmponenten 
asigesprochen we!4en. Zusatzlich i£^ deir PC 2 
13 Die£mpfimgseix)beit7bestehtau3einemEmp:Qu^ 

Emp&ng der von Sendem 6 oder 16 gesendeten Schlusseldatensatze 4 oder 1 7 vor- 
geiseheh ist. In der Empfangseinheit 7 list als Auswertekomponente eine Bmpfanger^ 
sofiiware 1 1 vorgesehen, die nadi &halt eines Sc^fisseldatensatzes aus diesem einen. 
Schltlssel 1 8 (z. B ein^n in d^ IEEB802.1 1 Standard definierten Wired Equivalent 
20 Privac^ir (WEP>-SchltSssel) ^ctrahiert und diesen Schltlssel 18 ilber eine gtendardisierte . 
Management-Schnittstelle (alj9 MIB (Management Infpnnatian Base) - Atttibiit beim 
IEEE802.il -Standard) an die Trelbersofiware 10 weit^leitet Dpr PC 2 iveist eine !?um 
BeHieb des PCs notwendige Anwendungssoftware 8 auf. 

25 Ein Benutzer mCohte den PC 2 ins Hausnetzwerk instalUeren und drahtlos mit einsr . 
HiPi'-Anlage des Hausnetzwerkes verbinden, damit er mebrere im PC 2 gespeicberte 
Musikdateim im MP3-Fonnat auf seiner HiFi-Anlage abspielen kann. Dazu begibt sich 
der Benutzer mit der Einheit 1 in die Nahe des PCs 2 und startet eine Dbertragung des 
im Speicher 3 gespeicherten SchlUsseldatensatzes 4, indem er aus einer Entfemung von 

30 einigen Zentimetem d^n Sender 6 der Binhelt 1 auf den Empf&nger 9 riohtet und die 
Taste 5 der Einheit 1 betatigt. 
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Eei der ObertragMng des Sohlixsseldatensatzes 4 werden Infratotsigtiale yerwendet. Das 
Fonnat des Schlfisseldatensatzes 4 ist eine 1 024 Bit-Sequenz. aus welcher die Emp- 
fSngersoftware 1 1 die 128 low-order Bite extrabiert imd als (WEP.)Schltts$el 18 an die 
Tieibersoftware 10 weiterleitet In der Treibersoftware 1 0 wird dieser Schliissel 18 zvir 
5 Verschlilsselimg des Datenverkehrs zwischen dem PC 2 und der HiFi-Anlage sowie 
anderen Geraten, bei denen ebenfalls die Eingabe des Sohliisseldatensatzes 4 statt- 
gefimden hat, verwendct. Dies bezieht sich aiich auf die nachfolgesnii zair Auto^Konfi- 
guration der Netzwerkanbindung dep PCs an das Hausnetz; (zJB. Konfiguration eanca: IP- 
Adresse) notwendige Kommimikation ixiit den schon im Netzwerk vorhand^nen 
10 Geraten. 

Verschiedeae UmstBnde kOxmen die Installation eines neuen Schl^sels erfordem, z.B. 
wenn die Einhoit dem Benutsser abhandcn konxmt, ein naues GerMt inatalliert werden 
' ' soli Oder wetmdej^BemitzereinenVerdaohtM^ 

15 gescbOtzt ist« GnmdsStzlich kann eine neue Binkeit mit eihem neuen Schltisseldaten$atz 
den zulet2* eingegpbenen (alten) ScU 

Schlu&seldateasat2; an alien GetSten des Hausnetswerks neu eingegeben wexden mu$s. 

Ein iiiissfar&uohliche^ Bingc^ben eines neuen iScUUsseM 
20 dadurch verhindert v/eftd&iLt ^^s ^ mindestens ein GerSt des Hausnetzes fur unbdfiigte 
Personen nicht frei zugSnglich ist. Dieses Gerat kann nach der unbefugten Bingabe des 
neuen Schlflsseldatensatzes in die anderen Gerite des Hawnetzes nicht mebr mit dlesen 
konomunizieren und z.B. einen entsptechenden Alazm ausI5s^. 

25 Urn die Sicherheit des HausnetzwCTks zu erhehen, kami es .ato 

dass zur Bingabe eines neuen Schlt^seldatensatzes die zusatzUche Eingabe des alten 
Schlilsseldatensatz^ 4 ^orderlich IsL Dazu begibt siob der Bemitzer mit der alten und 
der neuen Einbeit in die ditekte Nahe des PCs 2 oder eines anderen Gerstes des Haus- 
netzwedcs. Dear Benutzer betatigt die Taste S der alten Einlieit 1 zm (nocbmaligen) 

30 Obertragung des alten Schlnsseldatensatzes 4. Kuxz darauf startet der Benutzer die 
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Obeitragmxg des neuea SchlOsseldatensatzes, indem er bei der.neuen P.fnheit die Taste 
zur Auslosung der Obertragung betatigt 

Die Empfingersoftware 1 1 des PCs 2 registriert den Empfang des alten Schliissel- 
5 . datensatzes 4 imd empffingt danach den neuen Schlusseldatensatz. Nur unter der 
. . Bedingung, dass die Empfingersoftware 1 1 zuvor den Empfang des alten SchlUssel- 
datensatzes 4 tegistriejt hgt, leitet sie den neuen Schltisseldatehsatz bzw. den ent- 
haltenen SchlflsseKiber die Management-Schnittstelle an die Treibersoftware 10 der 
Funlcsclinittstelle 12 weiter. Danait eine VerschliSsselung des Datenverkehrs auf Basis 
' 10 des neuen Schlitesels stattfinden fcann, muss die oben beschriebene Eingabe des neuen 
SchlQsseldatensatzes an alien. Oeraten des Hausnetzwerks vorgenommen weiden. . 

Bin eihdhtes MaB an Sicherheit bei der Bingabe eines neuen Schlttsseldatois^es Icapn 
erzielt werden,. wenn die EmpfMngersoftware 11 die Eingabe eines nei^n Scbltlssel- 
1 5 datensatzes nur akzeptierl; dii. den enthaltenen Sdiltissel ^weiterleitet, wenn der neue 
Schlfjsseldatensatz mebrfhcli und in gewissen zeillichen Abst^den in das Oerat ein" 
geben -witd, wobei Anzahl und zeitlicher Abstaod der geforderten Eingaben nur dem 
Benutzer bekannt sind. * ... 

20 Ein erhShtes Mafi iun Sicherheit des Hausnetzes kann auch daduich erzielt werden, dass 
ein SchltisseldafcensaCz regelmafiig naoh Ablauf exner gewissen Zeitspaime (m^irere 
Tage/W oohen/Monate) emeut an mindestens ein GerBt des Hausnetzes Qbertragen 
werdenmuss. 

25 Mt Hllfe der OSkeeinheit 13 kann der B^utzer elnem Gast Zugriff aqf dm PC 2 

gew^en.Dazubegibt|5ich der Oast Oder der Benutzer in £^ . 
dutch das Betatigen der Taste 15 eine 'Qberfcragung des durch den Schltisselgeneiator 14 
etzeugtenOast-Schlttsselflatensatzes 17 aus. 



30 
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Der Gast-Schlxfeseldatensatz 17 besteht aus einer Bitfolge mit zusatzlicben Bits zur 
Obeitragung weiterer Infonnationen, Die zusatzlicheii Bits keiXD2;eicImen den Sohltlssel- 
datensatz als Gast-SchliisseldateBsatz \md dienen zur UnterscheidTiDg desr Schlftssel- 
datetisatze voxi anderen foformationen, fells die Empfangseijalifiit als Sohnittstelle £Qr 
5 weiter© Anwendimgen genutzt wird. 

. Die Bmpfextgseinheit 7 empf^Bgt den Gast-Schlusseldaten^ats 1 7. Die Emp£bige]y 
software 1 1 idemtifiziert den Schltl^seldatensats anhand der zusttzlichen Bit? als Oast- 
SehlOsseldat^atz 17 und leitet den extiahierten Schltissel als zus§tzlichen (WEP- 
10 )Schlassel tiber die Managexnent-SchnittsteUe an die Tieibersoftwaie 1 0 der Punk- 

sbbnittstelle 12 weit^. Die Treibeisoftware 10 verwezidet deh SohlOssel als zusatsdichen 
Schltlsisel 2iir Verschltlsselimg des Dateirv^erkehrs. 

In der im IEEE802.1 1 Standaid definierten Wuod Equivalent Privacy (WEP>Ver- 
1 5 . schlOsseliing ijst ^e parallele Verwendung von bis zxi vier WEP^Schlflsseln vpr- 
. gesehen. Die O^ate des NeisEWiearks sind in dor Lage zu erkenn^» welcher der WEP<- 
ScUf^sel aktueU 2vr VersoUtteselimg vemendet 

Die Eingabe des Gast-Sdhltisseldatensatzes 17 wird an alien Oei&tei des Haiisnetzvverks 
20 iTviedezbolt, die der Gast niitzen mSchte, $owie an d&n Oer^ten des Gastes.(z.B. Laptop), 
mit denen dieser Zugriff auf das Hausneteweric, z,B. auf die MP3-Dateien auf PC 2, 
erbalten madite, ' 

Urn dem Benutzer die KbntroUe (Iber die Dauer des gewS^^ 
25 Hau$aete zu enndglichei^ vviid automadsch nach einer f^tgelegten Zeitspaime (z£. 
lOh) Oder durcb Benutzer-Interaktion (z.B. Eingabe des Heim-SchlQsseldatensatzes 4 an 
den Mausnetz-Geraten) der Qast-Scbltlsseldatensatz 17 in den Geraten des 
Hausnetzwerks geldscht 



30 
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Um eine unbefugte Benutzung dues Gast-Schltlsseldaterisatzeis durch einen frfflieren 
Gast zu verhindenx, erzeugt der Scbitlsselgenerator oach. einer festgelegten Zdltepaime 
autoinatisch einen neuea Gast-Schlti^seldatensatz nach dem Zufallsprinzip. ^ 




5 Fig- 2 zeigt ein Blocskschaltbild einer tragbaren Einheit 1 9 bei Verwendimg einer Hoch- 
frequenz-Transpondertechnologie zur tTbeitragung de$ Sehliisseldatensatzes 4, Die 
tragbare Einheit 19 besteht aus einem digitalen Teil 26, das einen Speicher 20 (wie B 
ROM) zur Speichenmg des Schltisseldatensatzes, eine Ablaufeteuerung 21 und einen 
Modulator 22 zUr Urosetzung eines aus der Ablaufstetiertmg 21 kommenden Bitstroms 

10 in zu Ubertrageae Hoclifrsquenzsignale ehthalt Weiterhin begteht die Einheit 19. aus 
einer Weiche 23 zur Tremiung der durch ein als Antenne 25 bezeirfinetes passives 
Bauelemeixt empfeAgenen elektr omaguetischen Ensrgie von dem zn ttbeitragenen Hoch- 
fireqiienzsignal, einer Spannirngsversorgungseinheit 24 mit Spannungsdetektor zur 
Versorgung des digitaldn Teils 26 mit einer Betriebsspaimung und der Antenne 25 zur 

1 5 t)b^lTagung de3 aus der Weiche 23 kommenden Bitstroms als auch zum Empfang der 
f&r den Betrieb notwehdigen Energie. 




Zur Obertragung des Schlusseldateiisatzes 4 begibt sich der Bemitzer mit der tcagbarea 
Einheit 19 in unmitblbare NShe der Empfangseinheit 7. Die Antienne 25 Idtet cUe ein- 

20 strOmeude ]^ergie von der Empfangseinheit 7 lib^ die Weiche 23 an die Spannungs- 
versorguiagseinheit 24 mit Spannungsdetektor weiter; Falls ein Schwellenwert der 
Sparmung in dem Spannungsdetektor aberschritteb Nvird^ sorgt die SpannungsveT'^ . 
soigungseinheit 24. £Qr erne Betriebsspannung in der Einheit 19. Durch die Betdebs- 
spannung angeregt ivird die Ablauf^uerung 21 initiaUsiert und liest den in dem 

25 Spddier 20 gespeicherten Schlfisseldatensatz aus. Der ScblQsseldat^atz wird dutch 
die Ablau&teuerung 21 in ein geeignetes Nachriohtenfonnat eingebettet und an den 
Modulator 21 zur Umwandlung in analoge Hoch&equenzsignale weitergeleitet Die 
HochfrequrazsignBle werden iiber die Weiche 23 duich 4ie Aatenne 25 ausgesendet 



30 
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In Fig. 3 ist die Einheit 19 als Bmpfangs- imd Sendeeinheit bei Verwendimg der 
gleichen Tedmologie vide in Fig. 2 dargestellt In dieser Darstellung sind gleiche oder 
entsprechende Elemente imd Komponenten wie in. Fig, 2 jeweils mit gleich«a Bezugs- 
ziffem bezeiohnet. Insoweit vrird auf die Beschreibung im Zusam m^nh ang mit Fig, 2 
Bezug genommen, imd nachfolgend werden nm die Unterschiede erlSutert 

In dieser AusfUhrungsfotzn vreist die Einheit 1 9 neben dem Modulator 21 einen 
Demodulator 27 an£ Der Speicher 20 wird durcb. eiiien I5schbami Speicher vAe z.B. 
einen elektrisch lOschbEtzen Speicher eines EBPROM lealisiert 



Duich den Demodulator 27 ist die Einheit 19 in der Lage, ein durch die Axitenne 25 
(zusStellch znr einstrOmendOT Energie) empfengenes und fiber die Weiohe 23 weitej> 
geleitetes Hpchfiiequen^signal in eine Bitfolge umzusetzen. Die vom Demodularor 2/ 
kbmmende Bitfolge i^d dmch die Ablaufiteuenmg 21 v^rarbeitet Die Veraibeitung 

IS der Bitfolge kann in einem ZugrifTdqrAblaufsteuenmg 21 auf den Speidier 20 
resultieien, Mis die Ablaufsteuenmg 21 &ststellt» dass die Bitfolge Informationen 
enth£Ut, die die Bmp&ngseinheit znm Empfimg des SchltSsiseldatensatzes berechtigen. 
Falls die Bmpfangseinhelt beiechtigt ist, den Schlfisseldatensatz zu enxpftogen, liest die 
Ablau&teuerung 21 deii Schlfisseldatensatz aus und leitet ihn vm in Pig. 2 beschrieben 

20 2ur Aussendungandie Aiii:enne2S weiter. 

Durch den Demodulator 27 ist es des weiteren moglioh, emen neuen Schltteseldatensatz 
in die Einheit 19 einzubringen. Wird der Speicher 20 als bescbreibbarer Speicher (z.B. 
EEPROM) realisiert, lasst sich auf diese Weise d^r in der Einheit 19 enthaltenie Sohliis- 
25 seldatensatz durch einen neuen Schliisseldatensatz ersetzen. 

In Fig. 4 ist die Einheit 19 als eine GSsteeinheit 28 bei Verwendung der gleidien 
Technologiewie in Fig. 2 dargestellt. In dieser Darstellung sind eben&lls gleiche oder 
entsprechende Elemente und Komponenten wie in Fig. 3 jeweils mit gleichen Bezugs- 
30 zifiEem bezeichnet Insoweit wird auf die Beschreibung im Zusammenhang mit Fig. 3 
Bezug genommen, und nachfolgend werden nw die Unterschiede erlautert. 
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Die GS3teeinheit 28 weist zusStzlich einen Schltlsselgenerator 29 auf, der mit der 
Ablairfsteuerung 21 v^unden ist und zur Erzeugung einer Folge von Gastschliissel- 
datensatzen dient 

5 Nachdem die diirch die Antenne 25 in xmmittelbarer Nahe der Empfangseinhjeit 7 
einstrSm^de Energie in der Spaimungsversorgungseinheit 24 mit Spannungsdetektor 
■ detektiert wurde, wird die digitale Eiioheit 26 durch die Spannimgsversorgunggemheit . 
24 mit einer Betriebssparinung versorgt. Die Ablaxjfsteuerung 21 liest eiaen duich den 
Schliisselgenerator 29 erzeugten Scbltisseldatensatz ein. Nachdem die Ablau&texjemng 
10 ' 21 den Sciilusseldatensats: erhalten bat -and in ein geeignetes Nacbricbtenfonnat ein- 
gebettet bat, leitet sie ihn weiter zur Versendung an den Modulator 22 xmd schreibt 
gleichzeitig den Schltisselsatz in den Speicber 20 ein, der fflr dicsm Zweok £ds 
bescbreibbarer Speicher ausgefiUirt sein muss (zJB. EEPROM). 

15 la dner zweiten Betriebsart wird vbm ScblOsselgenerator in regehmBigen AbstSnden 
(zum B^piel einige KiBnutm Oder Stunden) ein neuer SchlttsseldBteDsatz erzeugt und 
im wiederbescbrdbbaren Speidier 20 abgelegt. Der weitere Abku^ 
Briauterungen ^e zii Kg» 2 und Fig. 3 angegeben. 

20 Die AxisfOhrungsfonn derBinheit 19 mit Schiasselgenerator wie in Fig. 4 ge2;eigt ist 
auoh mk der in Pig. 2 gessdigten ATOfOhrungsform (ohne Demodulator 27) 
kombinierbar. 




. I 
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PATENTANSPROCHE 



I . Sidtierlieits^ystem fBa: drahtlose Netzwerke mit 

- einer ersten tragbaren Einheit (1 ) mit einem Speicher (3) zur Speichenmg eines 
weltweit elodeutigen Schlttsseldatensatzes (4), die zur KurzstreokeQbifonziationsr 
Hbertragimg des Sohlttsseldatezisatzes (4) vorgesehen ist, uoA 
5 - mindestens ein^ Bmpfingseinheit (7) in wenigstens dnem dtahdosen Oerat (2) des 
, ' Neteweiks, die einea Empf&iger (9) zum l^pfang des Schlttsseldatensatzes (4) und 

eine ^}i$wectekomponeat& (1 1) des G^tes zur ^peldhenmg, Verarbeitung und/oder 
Weitefleitung des Schliisseldatensatzes (4) oder eines Teils des ScUOsseldatensatzes 
in eine zweite Komponente aufweist 

10 

; . 2. Sicherheitssystem nach Anspruch 1, 

dadurch gelcennzeichrtet. - - 

dass die erste Einheit (1) eine AuslSseeinheit (5) zur Auslosung einesr 

KiuzstieckenschltKSseldateiisa^UbeTtragung aufweist. . " ' 

* 15 * ... . . ; ' . ^ 

3. Sich^heitssystemnach Anspruch 1^ • . 
dadmch gfifcennzeichnet 

das^ bei AtmSherung an die Bmpfiangseinheit (7) eine in der Einheit (1) enthalt^oe 
Detdctordnheit 2W Axisldsung der Ku£2;streckenin^ 
20 Schlusseldaf ensatzes (4) vprgesehen ist 

4, Sidierheit$system inach einem der Ansprftohe 1 bis 3, 

dadurch 'p fftl«rftnnyi>irhnftt, 

dass ein Schliisselgenerator (14) in der ersten Einheit (1) oder einer ziveiten Einheit 
25 (1 3) zur Erzeugung einer Folge von Gast-Schltisseldatehsatzen (17) vorgesehen ist . 
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5. Sioherhpitssystem nadht einem der Ansprache 2 bis 4, 

dass die erste Einhfiit (1) beini Betadgra dner zweiten AuslOseeinheit (15) zur 
tJbertragimg eines Qast-Schltteseldatensatz^ 

. 6. Sicherheitssystem nach Anspruch 1 oder 5, 
dadmioh ge^ ^^nmichneL 

dass der Schlttsseldatensatz (4) imd der Gast-Schliteseldatensatz (17) jeweils aus einer 
Bitfolge besteheru 

7. Sicherlieitssystem nach Anspruch 1, . . • 

daduroh gek$imz ftt<^>tr>ftt- • . 

dass die erste Eijiheit (1) ein Teil eines Gerates. insbesondejre einer Fembedleming, ist. 

15 8, Sicherheitssystem nach Angpmch 1 5 . " 

dadtirch gekennzciohnet: 

dass eine Eingabe des Sohlttsseidatensatzes (4) wahtend Oder 
Netzwerkkonfiguration» insbesondere einer automatischen Netzwerkkonflguratipn, 
eine? Gerates (2) vorgesdien ist. 

20 , . , ' . ' 

9. Sicherheitssystem nach Anspruch 6, 
dadurch gekennzeichnet, 

dass der SchlHsseldat^nsatz (4) und der (jast-Sdbltisseldatensatz (17) 
Kemiz;eichnungsbits euihalten, die zur Ujrterscheidung 2?wi!5ohen Schltisseldatensatzen 
25 (4, 1 7) und anderen Bitfolgen vorgesehen sind und die Bitfolgen als Schltisseldateosatz 
(4) Oder als Gast-Sc^tisseldateinsatz (17) kennzeichnen. 
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10. Sicherheitssystem nach Anspmch 4, * 
dadiiroh gekeonzeichnet . 

dass da$ Oeiat (2) zur Loschung des Gast-Schlflsseldatraisatzes (17) vorgesehea iat 

1 1 . Sicherheitssystem na<A Anspruoh 4, 
dadurohjgekennzeichnet 

dass das GerSt (2) mittels eines im SchlOsseldatensatz (4>17) enthaltenen ScblUssels zur 
Authentifizienmg und Verschlusseltmg zu tlberttagenet Nutzdaten zwischen dexi 
OerSten des Netzwerks voigesehen ist 

12- Tragbare Einhelt (1) zur Installation eines gemeinsamen Schltlssels in wenlgsten? " 
einem Ger at (2) eines drahtlosen Netzwerkes mit einem Speicsher zur Speichenmg dnes 
weltweit eindeutigeh fechlQsseldatensatzes (4), die zur 

Kurzstreckeninformatiionsiubertragimg des Schltisseldatensatzes vorgesehen ist. 



13, Elektrisches Ger3l (2) mit ©iner Empfangseinheit (7), die einm EmpfSnger (9) zwm . 
Empfang eines Schltisseldaterisatzes (4) und eine Auswertekomponente (11) des 
-Gerates (2) zw Speichenmg, Verarbeitung und/oder Weiterlextung des 
Schltlsseldatensatzes oder eines Teiis des Scbltlsseldatensatzes in eine zweite 
io Komponente (10) airfweist. 



25 
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FIG. 1 




FIG. 2 
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FIG. 4 
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